BDU:2023-01716

Опубликовано: 29 мар. 2022

Источник: fstec

CVSS3: 8.8

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость устройства RDMA эмулятора аппаратного обеспечения QEMU связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Фабрис Беллар

АО "НППКТ"

АО «ИВК»

Наименование ПО

Debian GNU/Linux

Astra Linux Special Edition

QEMU

ОСОН ОСнова Оnyx

АЛЬТ СП 10

Версия ПО

10 (Debian GNU/Linux)

11 (Debian GNU/Linux)

1.7 (Astra Linux Special Edition)

до 6.2.0 включительно (QEMU)

4.7 (Astra Linux Special Edition)

до 2.6 (ОСОН ОСнова Оnyx)

- (АЛЬТ СП 10)

до 2.11 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

АО «ИВК» АЛЬТ СП 10 -

АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для QEMU:

использование рекомендаций производителя: https://lists.nongnu.org/archive/html/qemu-devel/2022-03/msg05197.html

Для Debian:

использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-1050

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОСОН ОСнова Оnyx

Обновление программного обеспечения qemu до версии 1:7.1+dfsg-2~bpo11+2osnova0

Для ОСОН ОСнова Оnyx (2.11):

Обновление программного обеспечения qemu до версии 1:7.2+dfsg-7+deb12u5osnova1

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-1050
CVE

EPSS

Процентиль: 5%

0.00025

Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2022-1050

CVSS3: 8.8

ubuntu

около 3 лет назад

A flaw was found in the QEMU implementation of VMWare's paravirtual RDMA device. This flaw allows a crafted guest driver to execute HW commands when shared buffers are not yet allocated, potentially leading to a use-after-free condition.

CVE-2022-1050

CVSS3: 8.2

redhat

больше 3 лет назад

CVE-2022-1050

CVSS3: 8.8

nvd

около 3 лет назад

CVE-2022-1050

msrc

больше 2 лет назад

Описание отсутствует

CVE-2022-1050

CVSS3: 8.8

debian

около 3 лет назад

A flaw was found in the QEMU implementation of VMWare's paravirtual RD ...

EPSS

Процентиль: 5%

0.00025

Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2